[发明专利]文件完整性度量方法、装置、终端及安全管理中心

权利要求书

1.一种文件完整性度量方法，应用于终端，其特征在于，包括：

获取目标关键文件的文件内容的哈希值M；

将所述哈希值M分别与所述目标关键文件的基准值B和上一次度量时计算得到的所述目标关键文件的文件内容的哈希值C进行对比，确定度量结果；

将度量结果上传至安全管理中心，并将所述度量结果扩展到TPM芯片的平台配置寄存器PCR中；

所述将度量结果上传至安全管理中心，并将所述度量结果扩展到TPM芯片的平台配置寄存器PCR中，包括：

在所述度量结果指示M不等于B，且C等于B的情况下，向安全管理中心提交告警信息，并将M扩展到所述PCR；

在所述度量结果指示M不等于B，且C不等于B的情况下，向安全管理中心提交告警信息，不扩展所述PCR；

在所述度量结果指示M等于B，且C不等于B的情况下，向安全管理中心提交告警信息，并将关键文件列表的总哈希值扩展到所述PCR；所述关键文件列表中包含至少一个关键文件。

2.根据权利要求1所述的方法，其特征在于，所述获取目标关键文件的文件内容的哈希值M之前，所述方法还包括：

判断关键文件是否发生修改操作；

在所述关键文件发生修改操作的情况下，确定修改后的关键文件为所述目标关键文件。

3.根据权利要求1或2所述的方法，其特征在于，所述方法还包括：

向安全管理中心提交度量审计信息，所述度量审计信息包括下述至少一项：

所述目标关键文件的路径；

所述目标关键文件的文件内容的哈希值M；

所述目标关键文件的基准值B。

4.根据权利要求1所述的方法，其特征在于，所述方法还包括：

操作系统启动之后，从安全管理中心获取关键文件列表中各关键文件的基准值，并加载至所述终端的内核。

5.一种终端，包括：收发机、存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序；其特征在于，所述收发机在处理器的控制下接收和发送数据，所述处理器用于读取存储器中的程序，执行下列操作：

获取目标关键文件的文件内容的哈希值M；

将所述哈希值M分别与所述目标关键文件的基准值B和上一次度量时计算得到的所述目标关键文件的文件内容的哈希值C进行对比，确定度量结果；

将度量结果上传至安全管理中心，并将所述度量结果扩展到TPM芯片的平台配置寄存器PCR中；

所述处理器还用于读取存储器中的程序，执行下列操作：

在所述度量结果指示M不等于B，且C等于B的情况下，向安全管理中心提交告警信息，并将M扩展到所述PCR；

在所述度量结果指示M不等于B，且C不等于B的情况下，向安全管理中心提交告警信息，不扩展所述PCR；

在所述度量结果指示M等于B，且C不等于B的情况下，向安全管理中心提交告警信息，并将关键文件列表的总哈希值扩展到所述PCR；所述关键文件列表中包含至少一个关键文件。

6.根据权利要求5所述的终端，其特征在于，所述处理器还用于读取存储器中的程序，执行下列操作：

判断关键文件是否发生修改操作；

在所述关键文件发生修改操作的情况下，确定修改后的关键文件为所述目标关键文件。

7.根据权利要求5或6所述的终端，其特征在于，所述处理器还用于读取存储器中的程序，执行下列操作：

向安全管理中心提交度量审计信息，所述度量审计信息包括下述至少一项：

所述目标关键文件的路径；

所述目标关键文件的文件内容的哈希值M；

所述目标关键文件的基准值B。

8.根据权利要求5所述的终端，其特征在于，所述处理器还用于读取存储器中的程序，执行下列操作：

操作系统启动之后，从安全管理中心获取关键文件列表中各关键文件的基准值，并加载至所述终端的内核。